飞塔防火墙安装部署指南

Server Network
ＷＡＮ１ ＤＨＣＰ获得 ＤＭＺ 192.168.3.（100+X） 192.168.3.0 /24
Private Network
10.0.x.0 /24
Class Server Student PC
实验一 设备初始化为出厂设置
1、图形界面中的设置 通过https://192.168.1.99登 录系统
•
试用以下辅助选项 config ? con[tab] 返回上一次命令 向上箭头或者CTRL-P 返回下一个命令 向下箭头或者CTRL-N 返回一行的头部 CTRL-A 返回一行的尾部 CTRL-E 回退一个字符 CTRL-B 前进一个字符 CTRL-F 删除当前的字符 CTRL-D 取消命令和退出 CTRL-C
初始设置——配置接口IP
• 三种方式: Static (e.g. 192.168.1.99 / 255.255.255.0) DHCP PPOE 每个接口支持多个二 级IP地址，可以配置 独立的管理权限
•
初始设置——时区与时间
• 系统管理>状态 系统日期 • 修改时区与时间
时区是非常重要，它是通 过时区来确定升级服务器 的
Fortigate-60 # config system interface (interface)# edit wan2 (wan2)# set ip 192.177.11.12 255.255.255.248 (wan2)# end Fortigate-60 #
熟悉命令行（3）——Get
• 显示参数和当前值
实验四、配置网络的IP地址
• 按照实验拓扑连接网 线 • 设置WAN1接口自动获 得IP和网关 • 设置内网接口IP为 10.0.X.254/24 • 修改主机的IP地址为 10.0.X.1/24网关为 10.0.X.254 • 设置DMZ接口的IP地址 为192.168.3.(100+X)
实验四、配置网络的IP（续）
熟悉命令行（3）——Show
• 显示设置的命令
(internal)# show config system interface edit "internal" set vdom "root" set ip 192.168.96.254 255.255.255.0 set allowaccess ping https http telnet set type physical next end
网络接口
• RJ45 • SFP / XFP (高端型号)
串口标准
• RJ45 / DB9 (9600, 8, N, 1, None)
• 有些型号具有的特点:
• • • • • 集成的交换接口 LCD USB接口 硬盘 AMC
出厂的缺省设置
• 管理员通过SSH和HTTPS通过访问internቤተ መጻሕፍቲ ባይዱl接口的IP地址 192.168.1.99
为子菜单建立页面，该页面上可以添加各种功能模块
WebUI定制化(5)——布局和功能模块
• 设计布局和内容只适用于自己定制的子菜单项，不能对内置的 菜单项和子菜单项进行修改。 • 内置的菜单项可以掩藏。
WebUI定制化(6)——保存和效果
• 保存当前的设置，然后将该保护内容表赋予某管理员 • 用该管理员帐号登录
•
基于目的和子网长度的路径判断
可以指定出口和距离 (1-255)
同一目标的多条路由可以并存，但是只有一条是优先的
熟悉命令行（1）——结构
• 通过SSH, Telnet, 或者serial console • 分支结构
config system interface edit port1 set vdom "root" set ip 172.20.110.251 255.255.255.0
FORTIGATE防火墙部署指南
深圳市新开思信息技术有限公司 TEL:400-666-3148
FORTIGATE防火墙部署指南
深圳市新开思信息技术有限公司 TEL:400-666-3148
设备的物理结构
• 所有型号都具有:
实验四配置网络的ip续?在internal接口上设置dhcp为内网pc分配地址?如右图在系统dhcpinternal接口上创建dhcp服务器?修改主机自动获得ip地址?在主机上运行ipconfigall?到系统dhcp地址租期中查看ip分配的情况该分配的ip即使重启设备也文档仅供参考不能作为科学依据请勿模仿
(internal)# get name : internal vdom : root cli-conn-status : 0 mode : static dhcp-relay-service : dhcp-relay-ip : dhcp-relay-type : ip : 192.168.96.254 255.255.255.0 allowaccess : ping https http telnet
实验六，定制管理界面
定制一个只有防火墙和路由功能的管理界面
FORTIGATE防火墙部署指南
深圳市新开思信息技术有限公司 TEL:400-666-3148
如何管理——串口管理
• • • • 将计算机通过串口线与防火墙的console口相连， 如果计算机不支持串口的话，可以购买USB转串口设备 选择附件——超级终端，新建一个连接 端口设置采用“还原为默认值”后的设置即可
如何管理——图形界面（1）
• • • • 用于维护和管理来访问防火墙 基于接口来配置 缺省状态下，只有 “internal”可以通过图形界面和命令行来访问 缺省的帐号是“admin”，密码为空
•
NTP服务器 203.117.180.36
DHCP 服务器 / 中继
• • 可以在有固定IP的接口上启用 DHCP server 一个接口上可以配置多个DHCP服务器
•
中继DHCP请求到远程的DHCP服务器
初始设置——配置静态路由
• 缺省网关 用于访问公网，FortiGate访问FortiGuard和DNS servers
如何管理——图形界面（2）
可以再增加流量图等内容
设备面板
菜单项
系统状态
警告信息
许可证信息
会话与内容层管理信息
如何管理——图形界面（3）
• 帮助——点击串口右上角的
如何管理——图形界面（3）
拓扑
• 创建描述连线的详细图片
• 使用FortiGate当前的子网 / FQDN
• 定义背景图片 • FortiGate 100A以上才具有该功 能
登录和密码是大小敏感的
设置管理员（2）
• • 根据访问权限表来设置管理员的帐号 信任主机可以限制使用该帐号的主机的ＩＰ地址
实验室部署拓扑
124.42.37.19 192.168.11.254
INTERNET
FortiAnalyzer
Gateway Firewall
Intranet
192.168.11.0 /24
缺省的用户名是 “admin”，密码为空
• • • • •
其他接口的IP有或没有 缺省路由：192.168.100.1 DNS设置为Fortinet原始设置 时区: GMT-8 FortiGate 100A型号以下具有
有一个缺省NAT防火墙策略，从“internal to external”允许所有流量 在internal接口上启用了DHCP服务器
• 在Internal接口上设置DHCP为内网PC 分配地址
如右图，在系统/DHCP/internal接口上 创建DHCP服务器 修改主机自动获得IP地址 在主机上运行ipconfig /all 到系统/DHCP/地址租期中查看ip分配 的情况（该分配的IP即使重启设备也）
实验五、常用的命令
WebUI定制化(1)——新建授权表
显示和隐藏预览
WebUI定制化(2)——隐藏已有菜单项
•
隐藏后变成虚的，在使用该内容表的管理员登录后，就看不到该菜单项
WebUI定制化(3)——新建菜单项
• 点击下侧的+，则会添加菜单项 • 点击菜单的右侧向下箭头，可以隐藏该菜单或者创建子菜单项
WebUI定制化(4)——新建页面
branch
table
parameter
熟悉命令行（2）——根命令
• 配置的命令
config edit next end exit abort
•
•
要查看能够使用的命令，请用 “?”
补全命令的输入 请用<tab>
熟悉命令行（3）——config
• 可以进行设置
• 设置wan2的IP:
熟悉命令行（3）——Execute
• 执行某些命令，例如:
execute factoryreset execute ping execute backup
设置管理员（1）
• • 配置防火墙和帐号 可以通过CLI / GUI来访问防火墙
•
•
帐号是存在本地或者Radius server或使用PKI
• Show system interface • Get system interface • Get system interface wan1 • Show sys dhcp server internal-dhcp-server • Get system dhcp server internal-dhcp-server • Show sys dns • Get sys dns 注意比较Show和Get之间的区别
2、命令行下的配置 Execute factoryreset
实验二、设置主机名
设置主机名为userX，X表示在座的号码 图形界面下的配置
命令行下的设置步骤
实验三、熟悉某些命令
• • • 设置你的PC的ip地址为 192.168.1.110 255.255.255.0 网关为192.168.1.99，关闭PC上的防火墙 类的软件 在防火墙的命令行下运行get system status 在防火墙的命令行下运行exec ping 192.168.1.110